Kontrol Keamanan V2: Manajemen Identitas
Catatan
Tolok Ukur Keamanan Azure terbaru tersedia di sini.
Manajemen Identitas mencakup kontrol untuk menetapkan kontrol identitas dan akses aman menggunakan Microsoft Azure Active Directory. Ini termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun.
Untuk melihat Azure Policy bawaan yang berlaku, lihat Detail inisiatif bawaan Kepatuhan Terhadap Peraturan Benchmark Keamanan Azure: Manajemen Identitas
IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Microsoft Azure Active Directory (Microsoft Azure AD) adalah layanan manajemen identitas dan akses default. Anda harus menstandarkan di Microsoft Azure AD untuk mengatur manajemen identitas dan akses organisasi Anda:
Sumber daya Microsoft Cloud, seperti portal Microsoft Azure, Penyimpanan Azure, Microsoft Azure Virtual Machines (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.
Mengamankan Microsoft Azure AD harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu Anda menilai postur keamanan identitas relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.
Catatan: Microsoft Azure AD mendukung penyedia identitas eksternal, yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-2: Mengelola identitas aplikasi dengan aman dan otomatis
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-2 | T/A | AC-2, AC-3, IA-2, IA-4, IA-9 |
Untuk akun non-manusia seperti layanan atau otomatisasi, gunakan identitas terkelola Azure, alih-alih membuat akun manusia yang lebih kuat untuk mengakses sumber daya atau menjalankan kode. Identitas terkelola Azure dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Microsoft Azure AD. Autentikasi diaktifkan melalui aturan pemberian akses yang telah ditentukan, menghindari kredensial berkode keras dalam kode sumber atau file konfigurasi.
Untuk layanan yang tidak mendukung identitas terkelola, gunakan Microsoft Azure AD untuk membuat prinsipal layanan dengan izin terbatas di tingkat sumber daya. Disarankan untuk mengonfigurasi prinsipal layanan dengan info masuk sertifikat dan kembali ke rahasia klien. Dalam kedua kasus, Azure Key Vault dapat digunakan bersama dengan identitas terkelola Azure, sehingga lingkungan runtime (misalnya, fungsi Azure) dapat mengambil info masuk dari brankas kunci.
Gunakan Azure Key Vault untuk pendaftaran utama keamanan: authentication#authorize-a-security-principal-to-access-key-vault
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Microsoft Azure AD menyediakan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Manajemen identitas dan akses berlaku untuk identitas perusahaan seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok.
Gunakan akses menyeluruh (SSO) Microsoft Azure AD untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Microsoft Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-4: Menggunakan kontrol autentikasi yang kuat untuk semua akses berbasis Microsoft Azure Active Directory
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Microsoft Azure AD mendukung kontrol autentikasi yang kuat melalui autentikasi multifaktor (MFA) dan metode tanpa kata sandi yang kuat.
Autentikasi multifaktor: Aktifkan Azure AD Multifactor Authentication dan ikuti rekomendasi di kontrol keamanan "Aktifkan MFA" Azure Security Center. MFA dapat diberlakukan pada semua pengguna, pengguna yang dipilih, atau di tingkat per pengguna berdasarkan berbagai kondisi rincian masuk dan faktor risiko.
Autentikasi tanpa kata sandi: Tiga opsi autentikasi tanpa kata sandi tersedia: Windows Hello untuk Business, aplikasi Microsoft Authenticator, dan metode autentikasi lokal seperti kartu pintar.
Untuk administrator dan pengguna istimewa, pastikan tingkat tertinggi dari metode autentikasi yang kuat digunakan, diikuti dengan meluncurkan kebijakan autentikasi kuat yang sesuai kepada pengguna lain.
Jika autentikasi berbasis kata sandi lama masih digunakan untuk autentikasi Microsoft Azure AD, perhatikan bahwa akun khusus cloud (akun pengguna yang dibuat langsung di Azure) memiliki kebijakan kata sandi dasar default. Dan akun hibrid (akun pengguna yang berasal dari Active Directory lokal) mengikuti kebijakan kata sandi lokal. Jika menggunakan autentikasi berbasis kata sandi, Microsoft Azure AD menyediakan kemampuan perlindungan kata sandi yang mencegah pengguna mengatur kata sandi yang mudah ditebak. Microsoft menyediakan daftar global kata sandi yang dilarang yang diperbarui berdasarkan telemetri, dan pelanggan dapat menambah daftar berdasarkan kebutuhan mereka (misalnya, merek, referensi budaya, dll.). Perlindungan kata sandi ini dapat digunakan untuk akun khusus cloud dan hibrid.
Catatan: Autentikasi berdasarkan info masuk kata sandi saja rentan terhadap metode serangan populer. Untuk keamanan yang lebih tinggi, gunakan autentikasi yang kuat seperti MFA dan kebijakan kata sandi yang kuat. Untuk aplikasi pihak ketiga dan layanan marketplace yang mungkin memiliki kata sandi default, Anda harus mengubahnya selama penyiapan awal layanan.
Pengantar opsi autentikasi tanpa kata sandi untuk Microsoft Azure Active Directory
Menghilangkan kata sandi buruk menggunakan Proteksi Kata Sandi Microsoft Azure AD
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-5: Memantau dan memperingatkan tentang anomali akun
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Microsoft Azure AD menyediakan sumber data berikut:
Rincian masuk - Laporan rincian masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
Log audit - Memberikan ketertelusuran melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur di Microsoft Azure AD. Contoh log audit perubahan yang dicatat log termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.
Sumber data ini dapat diintegrasikan dengan Azure Monitor, Azure Sentinel, atau sistem SIEM pihak ketiga.
Azure Security Center juga dapat memberitahukan aktivitas mencurigakan tertentu seperti jumlah upaya autentikasi gagal yang berlebihan, akun yang tidak digunakan lagi dalam langganan.
Pertahanan Microsoft untuk Identitas adalah solusi keamanan yang dapat menggunakan sinyal Active Directory lokal untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut, identitas yang disusupi, dan tindakan orang dalam yang berbahaya.
Cara mengidentifikasi pengguna Microsoft Azure AD yang ditandai melakukan aktivitas berisiko
Cara memantau identitas pengguna dan aktivitas akses di Azure Security Center
Peringatan di Azure Security Center dan paket Azure Defender
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-6: Membatasi akses sumber daya Azure berdasarkan kondisi
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-6 | T/A | AC-2, AC-3 |
Gunakan akses bersyarat Microsoft Azure AD untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan pengguna masuk dari rentang IP tertentu untuk menggunakan MFA. Manajemen sesi autentikasi terperinci juga dapat digunakan melalui kebijakan akses bersyarat Microsoft Azure AD untuk kasus penggunaan yang berbeda.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-7: Menghapus paparan info masuk yang tidak diinginkan
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Terapkan Pemindai Info Masuk Azure DevOps untuk mengidentifikasi info masuk dalam kode. Pemindai Info Masuk juga mendorong pemindahan info masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.
Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IM-8: Mengamankan akses pengguna ke aplikasi warisan
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Pastikan Anda memiliki kontrol akses modern dan pemantauan sesi untuk aplikasi warisan serta data yang disimpan dan diproses. Meskipun VPN umumnya digunakan untuk mengakses aplikasi warisan, sering kali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Proksi Aplikasi Microsoft Azure AD memungkinkan Anda menerbitkan aplikasi lokal warisan ke pengguna jarak jauh dengan akses menyeluruh (SSO) sambil secara eksplisit memvalidasi kepercayaan pengguna dan perangkat jarak jauh dengan Akses Bersyarat Microsoft Azure AD.
Atau, Microsoft Defender for Cloud Apps adalah layanan perantara keamanan akses cloud (CASB) yang dapat memberikan kontrol untuk memantau sesi aplikasi pengguna dan memblokir tindakan (untuk aplikasi lokal warisan dan aplikasi perangkat lunak sebagai layanan (SaaS) cloud).
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):